WebAuthn에서 신뢰 당사자(Relying Party)란 무엇인가요?

• WebAuthn 또는 패스키의 맥락에서 신뢰 당사자(Relying Party)는 사용자를 인증하려는 주체입니다. 일반적으로 사용자의 신원을 확인하기 위해 인증자에 의존하는 웹 서버나 서비스를 지칭합니다. 이 인증 프로세스는 원활한 사용자 경험을 제공하는 동시에 안전한 사용자 액세스를 보장합니다.
• "신뢰 당사자"라는 용어는 사용자를 인증하기 위해 외부 인증자(예: 하드웨어 보안 키, 노트북 또는 스마트폰)에 의존하는 것에서 유래했습니다. 인증 프로세스에는 다양한 신뢰 당사자를 구별하는 데 도움이 되는 고유 식별자인 신뢰 당사자 ID(rpId)가 사용됩니다.

---

신뢰 당사자는 WebAuthn/패스키 생태계에서 필수적인 부분입니다. 더 자세히 살펴보겠습니다:

• 신뢰 당사자의 목표: 주요 역할은 사용자에게 신원 증명을 요청(challenge)하여 인증 흐름을 시작하는 것입니다. 이 챌린지-응답 메커니즘은 권한 없는 주체가 접근하는 것을 방지합니다.
• 인증자와의 상호 작용: 신뢰 당사자는 인증자와 긴밀하게 협력합니다. 사용자가 자격 증명을 제시하면 인증자는 이를 확인하고 서명된 응답을 다시 보냅니다. 그러면 신뢰 당사자는 이 응답을 검증하여 인증 프로세스를 완료합니다.
• 신뢰 당사자 ID(rpId)의 중요성: rpId는 자격 증명의 범위를 제공하므로 매우 중요합니다. rpId가 예상 도메인 또는 출처와 일치하는지 확인하여 신뢰 당사자는 중간자 공격과 같은 잠재적인 공격을 방지함으로써 보안을 강화합니다.

rpId 및 신뢰 당사자의 다른 측면에 대한 자세한 내용은 관련 블로그 기사에서 읽어보세요.

• 보안 강화: 외부 인증자에 대한 의존성과 rpId의 범위 바인딩을 통해 WebAuthn의 신뢰 당사자 모델은 추가적인 보안 계층을 제공합니다.
• 사용자 경험 개선: 사용자는 비밀번호를 기억할 필요가 없으므로 비밀번호 관련 침해 사고가 줄어들고 더 원활한 로그인 프로세스를 제공합니다.
• 다용성: 이 모델은 광범위한 인증자를 지원하여 사용자가 선호하는 방법을 유연하게 선택할 수 있도록 합니다.

---

rpId는 신뢰 당사자의 고유 식별자로, 자격 증명이 올바른 주체에 범위가 지정되도록 보장합니다. 이는 보안에 중추적인 역할을 하며, 인증 프로세스가 예상 도메인 또는 출처에 연결되도록 합니다. 따라서 피싱 공격을 방지할 수 있습니다.

신뢰 당사자는 사용자에게 챌린지를 보내 인증을 시작하는 반면, 인증자는 사용자의 자격 증명을 확인하고 챌린지에 응답하는 장치 또는 방법입니다.

WebAuthn의 신뢰 당사자 모델은 외부 인증자와 rpId 메커니즘을 활용하여 공격자가 사용자를 사칭하거나 인증 프로세스를 가로채기 어렵게 만듭니다.